Registro de usuário no sshd_config

12

Eu estava olhando através do meu arquivo sshd_config e encontrei o seguinte:

#Uselogin no

Eu sei que está comentado, mas não há explicação acima e quando eu o pesquiso no google, recebo o seguinte:

Não use o serviço de login tradicional (1) para fazer login nos usuários. Como estamos usando a separação de privilégios, assim que o usuário efetua login no serviço de login (1) é desativado.

OU

Especifica se o login (1) é usado para sessões de login interativas. O padrão é "não". Observe que o login (1) nunca é usado para execução remota de comandos. Observe também que, se isso estiver ativado, o X11Forwarding será desativado porque o login (1) não sabe como lidar com os cookies xauth (1). Se UsePrivilegeSeparation for especificado, ele será desativado após a autenticação.

Tanto quanto entendo, noevite que o ssh use o "login tradicional", mas não consigo encontrar nada sobre o login "tradicional".

Alguém poderia explicar o que faz?

Atrotores
fonte

Respostas:

15

Ok, precisamos de um pouco de história aqui, nos dias em que a principal maneira de acessar uma caixa UNIX era um terminal e uma linha serial, havia quatro programas envolvidos no login. Eles eram init, getty, login e um shell. O init iniciou o getty e o manteve em execução. O getty abriu uma porta serial (e talvez tenha feito coisas específicas do modem), depois exibiu o prompt de login e esperou que um nome de usuário fosse inserido. Quando um nome de usuário foi digitado, o getty fazia o login com o nome de usuário e o login solicitava a senha, fazia as coisas da conta e, em seguida, executava o shell, momento em que você era capaz de usar o sistema. Isso ainda é usado em data centers, máquinas virtuais e em muitos outros lugares.

Em seguida veio o telnet. O Telnet não usava uma porta serial, então as coisas mudaram um pouco. O init, além do getty, também iniciaria o telnetd (ou inetd, que iniciaria o telnetd). O telnetd obteria o nome de usuário e, em seguida, executaria o login e tudo funcionaria praticamente da mesma forma a partir daí.

Agora vem o shell seguro. Agora, o shell seguro permite que você efetue login sem uma senha (usando uma chave ou talvez dependendo da versão GSS), então existem algumas maneiras de fazer as coisas, você pode fazer exatamente como o telnet e não usar os recursos legais ou pode deixar o sshd manipular faça o login e inicie o shell, que permite fazer todo tipo de coisas legais. A menos que você tenha uma versão personalizada do login, recomendo que o sshd lide com os logins. (E se você tem pam, não há mais muitas razões para fazer um login personalizado.)

hildred
fonte